Che tipo di controlli di danno dovrebbe implementare un'applicazione web di banking online?

La maggior parte dei siti bancari limita la quantità di denaro trasferita in un periodo di tempo specifico. Non sarà possibile eseguire transazioni con un valore superiore rispetto a € 5000,00 in un singolo periodo di 24 ore senza preavviso alla banca. Ciò impedisce / limita i casi più pericolosi di frode.

Inoltre, tutte (almeno tutte le banche tedesche) utilizzeranno una sorta di secondo fattore per transazione che richiede il consenso specifico dell'utente per ogni transazione.

Un log delle transazioni è sempre una buona idea e può essere utilizzato anche come preziosa funzionalità per i tuoi clienti.

È difficile bilanciare i meccanismi di controllo dei danni e l'usabilità. Alcuni meccanismi sono considerati intrusivi da parte di un utente mentre altri possono essere abusati dai phisher per l'ingegneria sociale.

es.

1. Avvisa l'utente tramite SMS quando la transazione online viene effettuata da "non comune" indirizzo Geo-IP.
2. Avvisa l'utente quando viene effettuato un trasferimento "insolito" diverso dalla solita entità
3. Abilita un periodo di "raffreddamento" per la cifra della transazione per l'importo X. Se l'utente modifica il limite, avvisare l'utente tramite SMS.

Il controllo dei danni è piuttosto ampio, quindi vorrei che tu li catalogassi di più, ad esempio chiedi:

Di quali informazioni è necessaria l'azienda per impedire una violazione?

Idealmente, nessuno vuole essere violato, o come minimo vogliamo che il nostro tempo di reazione sia così buono da limitare i danni. Può trattarsi di tracciamento basato sulla localizzazione, tracciamento del tempo di utilizzo, tracciamento delle abitudini, Username / password w / 2FA standard, utilizzo del dispositivo, policy ecc.

Questo è ciò che un'azienda fa attivamente per:

• avverti potenziali problemi
• Interagire in sicurezza con i propri clienti
• Sviluppa le app in modo sicuro

Di quali informazioni è necessaria la società per risolvere la violazione?

Il detto "non è se ma quando succede qualcosa" è piuttosto diffuso. Una volta che si verifica qualcosa, qual è il modo più veloce per risolverlo? Quali sono i revisori, i legali e / o le forze dell'ordine che necessitano o vogliono?

Potrebbe trattarsi di registri di controllo, registri delle transazioni, registri della posizione. Questo si concentra davvero su:

• Informazioni da raccogliere
• Politica / team di sicurezza della sicurezza delle informazioni
• Mitigazione del rischio
• Compliance

Come comunichi con l'utente?

I primi due sono semplici, questo varia molto in quanto è la tua interazione diretta con gli utenti. Questo è in realtà PR / azienda guidata e le cose a cui potresti pensare sono:

• Quali dettagli sei disposto a pubblicare?
• Che cos'è un risarcimento adeguato?
• Cos'è regolato?

Quest'ultima onestamente non è il mio strong. Personalmente voglio tutti i dettagli e sento che l'Who, What, When, Why e How di una violazione devono essere pienamente comunicati. Conosco un sacco di persone nella comunità della sicurezza che non si sentono in questo modo, e certamente non il mio livello esecutivo che deve considerare l'intera azienda.

Soprattutto, non si tratta di un problema individuale o di una singola responsabilità aziendale, è necessario guidarlo a tutti i livelli.